安全資訊

為加強信息安全等級保護測評機構建設和管理，規范等級測評活動(dòng)，保障信息安全等級保護測評工作的順利開(kāi)展，公安部下發(fā)《關(guān)于推動(dòng)信息安全等級保護測評體系建設和開(kāi)展等級測評工作的通知》，對等級測評工作、等級測評機構以及等級測評人員進(jìn)行了規范和要求。要求開(kāi)展等級測評的人員參加專(zhuān)門(mén)培訓和考試，并取得《信息安全等級測評師證書(shū)》。等級測評人員需持等級測評師證書(shū)方可上崗。

為建立信息安全等級保護制度、構建國家信息安全保障體系專(zhuān)門(mén)成立了專(zhuān)業(yè)的技術(shù)支撐機構——公安部信息安全等級保護評估中心，簡(jiǎn)稱(chēng)“評估中心”。國家信息安全等級保護工作協(xié)調小組辦公室委托評估中心對從事等級測評的人員進(jìn)行培訓和考試，并對考試合格的人員頒發(fā)相應證書(shū)。

一、等級測評師的分類(lèi)及能力要求

信息安全等級測評師分為初級、中級、高級。

具體能力要求如下：

1. 初級等級測評師

• 了解信息安全等級保護的相關(guān)政策、標準；

• 熟悉信息安全產(chǎn)品分類(lèi)，了解其功能、特點(diǎn)和操作方法；

• 掌握等級測評方法，能夠根據測評指導書(shū)客觀(guān)、準確、完整的獲取各項測評證據；

• 掌握測評工具的操作方法，能夠合理設計測試用例獲取所需測試數據；

• 能夠按照報告編制要求整理測評數據

2. 中級等級測評師

• 熟悉信息安全等級保護相關(guān)政策、法規；

• 正確理解信息安全等級保護標準體系和主要標準內容，能夠跟蹤國內、國際信息安全相關(guān)標準的發(fā)展；
• 掌握信息安全基礎知識，熟悉信息安全測評方法，具有信息安全技術(shù)研究的基礎和實(shí)踐經(jīng)驗；
• 具有豐富的項目管理經(jīng)驗，熟悉測評項目的工作流程和質(zhì)量管理方法，具有較強的組織協(xié)調和溝通能力；
• 能夠獨立開(kāi)發(fā)測評指導書(shū)，熟悉測評指導書(shū)的開(kāi)發(fā)、版本控制和評審流程
• 能夠根據信息系統的特點(diǎn)，編制測評方案，確定測評對象、測評指標和測評方法；
• 具有綜合分析和判斷的能力，能夠依據測評報告模板要求編制測評報告，能夠整體把握測評報告結論的客觀(guān)性和準確性，具備較強的文字表達能力；
• 了解等級保護各個(gè)工作環(huán)節的相關(guān)要求，能夠針對測評中發(fā)現的問(wèn)題，提出合理化的整改建議。

3. 高級等級測評師

• 熟悉和跟蹤國內、外信息安全的相關(guān)政策、法規及標準的發(fā)展；
• 對信息安全等級保護標準體系及主要標準有較為深入的理解；
• 具有信息安全理論研究的技術(shù)、時(shí)間經(jīng)驗和研究創(chuàng )新能力；
• 具有豐富的質(zhì)量體系管理和項目管理經(jīng)驗，具有較強的組織協(xié)調和管理能力；
• 熟悉等級保護的全過(guò)程，熟悉定級、等級測評、建設整改各個(gè)工作環(huán)節的要求。

二、培訓及報考條件

首先，要求必須是在等級測評機構中從事等級測評工作并連續繳納社保滿(mǎn)3個(gè)月的人員1. 初級等級測評師

• 初級等級測評師的培訓對象是網(wǎng)絡(luò )安全、主機安全、應用安全、安全管理和工具測試人員等
• 報考人員需要具備信息安全技術(shù)知識和信息安全相關(guān)工作經(jīng)驗，熟悉TCP/IP網(wǎng)絡(luò )協(xié)議，了解標識與鑒別、訪(fǎng)問(wèn)控制等安全技術(shù)及原理，熟悉主流服務(wù)器操作系統、路由器、交換機、防火墻等設備操作與配置。

2. 中級等級測評師

• 中級等級測評師的培訓對象是項目負責人
• 報考人員需要具備信息安全理論基礎，對系統安全、網(wǎng)絡(luò )安全、應用安全等有深入了解，作為項目負責人組織實(shí)施過(guò)信息系統安全測評項目，熟悉國內外信息安全產(chǎn)品的特征，具有較豐富的測評實(shí)踐經(jīng)驗，良好的溝通協(xié)作和文字表達能力。

3. 高級等級測評師

• 高級等級測評師的培訓對象是技術(shù)負責人
• 報考人員需要具備信息安全理論基礎，具有信息安全理論、信息安全技術(shù)的研究和實(shí)踐經(jīng)驗，從事過(guò)網(wǎng)絡(luò )信息安全方面的測評、規劃、設計、實(shí)施、運維等工作。熟悉信息安全標準和產(chǎn)品特性，熟悉信息安全技術(shù)發(fā)展動(dòng)向。

三、符合條件的人員如何報名？

擬報考人員以測評機構為單位統一報名，各測評機構根據人員崗位，按照65%，30%和5%的比例推薦本單位測試人員報名參加考試。例如：一個(gè)機構有測評人員15名，按照初級10名，中級4名，高級1名的比例報名。

待評估中心對測評機構的報名比例和人員基本情況核對通過(guò)后，由報考人員自行填寫(xiě)人員信息表。

四、報名費用報名測評師等級考試，有兩項費用，分別為培訓費+考試費

評估中心報名確認后，由等級測評機構統一為報考人員代繳培訓費和考試費。

五、考試培訓評估中心組織對報考等級測評師考試人員進(jìn)行專(zhuān)門(mén)的培訓。

參考材料：評估中心專(zhuān)門(mén)為信息安全等級測評師編寫(xiě)了培訓教材，教材分信息安全等級測評師培訓教材（初級）、信息安全等級測評師培訓教材（中級）和信息安全等級保護政策培訓教程。學(xué)員也可以參考其他信息安全相關(guān)培訓教材。

六、考試

考試時(shí)間：每年等級測評師筆試時(shí)間集中安排在培訓后進(jìn)行，筆試結束后進(jìn)行中高級等級測評師的面試考試成績(jì)：考試后5個(gè)工作日后，由評估中心統一公布考試通過(guò)人員名單；

（注：未通過(guò)考試的人員，可以免費參加一次集中培訓，但需要重新報名和交納考試費用。）

七、證書(shū)頒發(fā)：

評估中心以測評機構為單位，統一印制、頒發(fā)《信息安全等級測評師》證書(shū)給通過(guò)考試的人員。